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REMISE DES PIECES 

DAT *9 AOUT 2002 
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NATIONAL ATTRlBU£ PAR L'INP! 

DATE DE OliPOT ATTRIBUTE Q flnMT 
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9 me Claude Chappe 
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Confirmation d'un depot par telecopie Q N° attribue par PINPI a la telecopie 



EH NATURE DE LA DEMANDE 


Cochez Tune des 4 cases suivantes 


Demande de brevet 




Demande de certificat d'utilite 


□ 


Demande divisionnaire 

Demande de brevet initiate 
ou demande de certificat d'aUHte* initiate 


□ 

N° Date 1 / / 1 
N° Date 1 / / 1 


Transformation d'une demande de 
brevet europeen Demande de brevet initiate 


m° Date 1 / / 1 


gT| T1TRE DE ^INVENTION (200 caractaros ou espacas maximum) 

Proc^de* de calcul universe! appliqu6 a des points d'une courbe elliptique deTmie par une quartique, proc£de" cryptographique et 
composant eUectronique assoctes. 



M DECLARATION DE PRIORITY 
OU REQUITE DU BENEFICE DE 
LA DATE DE D£p6T D'UNE 
DEMANDE ANTtRIEURE FRANQA1SE 


Pays ou organisation 

Date 1 / / 1 N° 
Pays ou organisation 

Date 1 / / 1 N° j 

Pays ou organisation 

Date 1 / / 1 N° 

□ S'H y a d'autres priorites, cochez la case et utilisez Pimprime uSuite» 


M DEMANDEUR 


1 1 S'il y a d'autres demandeurs, cochez la case et utilisez Pimprime «Suite» 


Nom ou denomination sociale % 


GEMPLUS 


Prenoms 




| Forme juridique 


Soci&e* Anonyme 


N° SIREN 


i i 


Code APE-NAF 


i ... i 


1 Adresse 


Rue 


Avenue du Pic de Bertagne 
Pare d' Activity de GEMENOS 


Code postal et ville 


13420 GEMENOS 


Pays 


FRANCE 


Nationality 


Francaise 


N° de telephone (facultalif) 




N° de telecopie (facuttatij) 




Adresse electronique (facuttatij) 





lei Ut?|JUl 



BREVET •WENTBdDflfl 
CERTIFICA^D'UTILITE 




O IMBTITUT 
NATIONAL OM 

la nor«im 

INOUtiailtLI 



REQUETE EN DELIVRANCE 2/2 



RSsBrvd & I'INPI f 



REMISE DES PIECES 
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Vos references pour ce dossier : 

(facultatij) 


016648 


H MANDATAIRE 




Nom 


LECLAIRE 


Prenom 


J Call LjUUIo 


Cabinet ou Societe 


CABINET BALLOT 


N °de pouvoir permanent et/ou 
de lien contractuel 




Adresse 


Rue 


9 rue Claude Channe - Tech n on Alp Met7 2000 


Code postal et vitle 


57070 METZ 


N° de telephone (facultatij) 


03 87 74 81 36 


N° de telecopie (facultatij) 


03 87 36 26 76 


Adresse electronique (facultatij) 




M INVEWTEOR (S) 




Les inventeurs sont les demandeurs 


Q 0L,i 

[xJNon Dans ce cas fournir une designation d'inventeur(s) separee 


M RAPPORT DE RECHERCHE 


Uniquement pour une demande de brevet (y comprfs division et transformation) 


£tablissement immediat 
ou etablissement differe 


B 

n 


Paiement echelonne de ia redevance 


Paiement en trois versements, uniquement pour les personnes physiques 
□Oui 
□Non 


M REDUCTION DU TAUX 
DES REDEVANCES 


Uniquement pour les personnes physiques 

ORequise pour la premiere fois pour cette invention (joindreun avis de non-imposition) 
□Requise anterieurement a ce depdt (joindre une copie de la decision d'admission 
pour cette invention ou indiquersa reference): 




Si vous avez utilise Pimprime «Suite», 
indiquez le nombre de pages jointes 






S3 SIGNATURE DU DEMAND EUR 

OU DU MANDATAIRE CABINET BALLOT 
(Worn et qualite du signature) CONSEILS EN PROPRIETE INDUSTRIELLE 
LECLAIRE Jean-Louis 93.4009 <^\>^ 9, rue Claude Chappe 
/ f / s~^<^ Technopole Metz 2000 
' C f METZ 


VISA DE LA PREFECTURE 
OU DE IHNPI 



La loi n°78-17 du 6 janvier 1978 relative a Tinformatique, aux fichiers et aux llbertes s'applique aux reponses faites a ce formulaire. 
Elle garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de I'lNPI. 



PROCEDE DE CAICUL UNIVERSEL APPLIQUE A DES POINTS D'UNE 
COURSE ELLIPTIQUE DEFINIE PAR UNE QUARTTQUE, PROCEDE 
CRYPTOGRAPHIQUE ET COMPOSANT ELECTRONIQUE ASSOCIES 

La presente invention conceme un proc£d4 de calcul 
universal appliqu£ a des points d'une courbe elliptique, 
et un composant electronique comprenant des moyens de 
mise en oeuvre d'un tel procede. L' invention est notamment 

5 applicable pour la mise en oeuvre d'algorithmes 
cryptographiques du type a cle publique, par exemple dans 
des cartes a puce. 

Les algorithmes a cle publique sur courbe 
elliptique permettent des applications cryptographiques 

10 de type chif f rement , signature numerique, 

authentif ication. . . - T 

lis sont notamment tr£s utilises dans d;es 
applications de type carte a puce, parce qu^iSLs 
permettent d'utiliser des cles de faible longueur, 

15 autorisant des temps de traitement assez courts, A et 
qu'ils peuvent ne pas necessiter 1 1 utilisation de cryptro- 
processeurs pour leur implementation, ce qui diminue ~3_e 
prix de revient des composants electroniques dans 
lesquels ils sont implementes . 

20 

Avant duller plus loin, il convient tout d'abord 
de faire quelques rappels sur les courbes elliptiques. 

Les points d'une courbe elliptique sont definis sur 
un corps et forment un groupe ab^lien !E(^, dans lequel 
25 1' operation de groupe est l f addition de points notee + , 
et ou il se distingue un element neutre note O. 

Pour un corps fini, le cardinal de est fini. Il 

existe done pour tout point P un en tier m tel que : 

O = m.P= P + P + ... + P, m fois 
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et tel que pour tout entier k< m, on a k.P ^ O. Un 
tel entier m est appele ordre de P. Dans ce cas, m divise 
le cardinal de 

Certaines courbes ont des proprietes particulieres . 

5 Par exemple, une courbe elliptique ayant un point d' ordre 
2 a un cardinal divisible par 2. Ou bien, une courbe 
elliptique ayant un point d ! ordre trois est une courbe 
telle que le cardinal du groupe est divisible par 3 . 

Les courbes ayant une merne propriSte particuliere sont 

10 regroupSes dans une meme famille. 

Un point d'une courbe elliptique peut etre 
reprSsente par plusieurs types de coordonnees, par 
exemple par des coordonnees af fines ou des coordonnees 
projectives de Jacobi, 

15 II existe differents modeles pour definir une 

courbe elliptique applicable en crypt ographie. Un modele 
couramment utilise est le modele dit de. Weierstrass. Le 
modele de Weierstrass est tres general puisque toute 
courbe elliptique peut se ramener sous ce modele. 

20 Chaque module peut etre utilise a 1 ■ aide des 

differents types de coordonnees* 

Par exemple, en coordonnees affines et dans le cas 
ou la caracteristique p du corps est diffSrente de 2 et 
3, le modele de Weierstrass est defini de la maniere 

25 suivante : le point neutre O (le point a 1 ' inf ini dans le 
modele de Weierstrass) et l 1 ensemble des points 
(X, Y) e Q§c% verifiant 1 ' equation : 

E/%i : Y 2 = X 3 + a*X + b (Fl) 
avec a, be ^Ctels que 4a 3 + 27b 2 * 0, forment le 

30 groupe des points rationnels d'une courbe elliptique 

Le point P peut aussi etre represents par des coordonnees 
projectives de Jacobi de la forme generale (U ,V , W) . 
(X, Y) et (U ,V ,W) sont liSes par les relations 
suivantes : 

35 X = U/W et Y = V/W 2 (F2) 



Avec ces coordonnees projectives de Jacobi, 
1' equation de Weiers trass d'une courbe elliptique 
devient : 

E/5C : V 2 = U 3 + a*UW 4 + b*W 6 (F3) 
5 Les coordonnees projectives sont notamment 

interessantes dans les calculs d 1 exponentiation appliques 
a des points d'une courbe elliptique, car ils ne 
comportent pas de calculs d' inversion dans le corps. 

Comme le montrent la formule F2, un itteme point a 
10 plusieurs representations possibles en coordonnees 
projectives de Jacobi . Aussi, on definit sur \ 
{(0, 0, 0}}, la relation d* equivalence suivante : deux 
elements, de coordonnees (U ,V , W) et (U' , V, W ) sont 
dits Equivalents et appartiennent a une meme classe 
15 d 1 equivalence si et seulement si il existe un element s 
non nul de % tel que 

(U 1 , V 1 , W) = XU, X 2 V, XVS) (F4) 
Les coordonnees d'un 1' element de cette classe son,t 
notees (U : V : W) . x 
20 -\ 
Selon le modele qui definit la courbe elliptique et 
selon les coordonnees avec lesquelles on travaill.e, 
differentes formules d' addition, de soustraction et de 
doublement de points sont applicables. Dans le cas du 
25 modele de Weierstrass, de telles formules sont connues et 
donnees par la regie bien connue de la secante et de la 
tangent e. 

Dans I'exemple d'une courbe elliptique E donnee par 
un modele de Weierstrass en coordonnees affines sur un 
30 corps de caracteristique differente de 2 et 3 , les 
formules d* addition, de soustraction et de doublement de 
points les plus simples sont les suivantes. 

Li 1 inverse d'un point PI = (XI, Yl) de la courbe E 
est le point - Pi = (Xi, Yi) avec 
35 Yl = - Yl (F5) 
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L 1 operation d f addition des points PI de coordonnees 
(XI, Yl) et P2 de coordonnees (X2, Y2) de cette courbe, 
avec PI * - P2, donne le point P3 = PI + P2 dont les 
coordonnees (X3, Y3) sont telles que : 



5 X3 = X 2 - XI - X2 (F6) 

Y3 = Xx(Xl-X3) - Yl, (F7) 
avec 

X = (Y1-Y2) / (X1-X2) , si PI * P2 <F8) 

X = (3xxi 2 +a) / (2XY1), si PI = P2 (F9) 



10 La formule F8 est utilisde pour additionner deux 

points distincts (P3 = Pi + P2) tandis que la formule F9 
est utilisee pour une operation de doublement de point 
(P3 = 2XP1) . 

Les formules F6 a F9 ne sont pas valables lorsque 
15 PI et / ou P2 est 6gal au point neutre O. Le plus 
souvent, en pratique, on ne realise pas d 1 operation de 
type P3 = Pi + O. Plus simplement, avant la realisation 
d'une operation d' addition de type P3 = Pi + P2, il est 
teste si l'un au moins des points est egal au neutre O. 
20 On realise alors l 1 operation P3 = PI si Pi = Oou P3 = P2 
si P2 = O. 

Les operations d' addition ou sous traction, de 
doublement d f un point et 1 1 operation d 1 addition du neutre 
sont les operations de base utilis^es dans les 

25 algorithmes de multiplication scalaire sur les courbes 
elliptiques : etant donne un point Pi appartenant a une 
courbe elliptique E et d un nombre predetermine (un 
entier) , le resultat de la multiplication scalaire du 
point Pi par le nombre d est un point P2 de la courbe E 

30 tel que P2 = dXPl = PI + PI +. . . + Pi, d f ois . A noter 
que si Pi est d'ordre n , alors nXPl = O, 
(n+l)XPl = P1+ O = PI etc., O etant le point neutre. 

Les algorithmes cryptographiques a cle publique sur 
courbe elliptique sont bases sur la multiplication 

35 scalaire d'un point Pi selectionne sur la courbe, par un 
nombre predetermine d, une cle secrete. Le resultat de 



cette multiplication scalaire dxpi est un point P2 de la 
courbe elliptique. Dans un exemple d* application au 
chiffrement selon le procede de El Gamal, le point P2 
obtenu est la cle publique qui sert au chiffrement d ! un 
5 message. 

Le calcul de la multiplication scalaire P2 = dXPl 
peut etre realist par differents algorithmes. On peut en 
citer quelques-uns, comme I'algorithme de doublement et 
d' addition ("double and add" dans la litterature anglo- 
10 saxonne) base sur la representation binaire du 
multiplieur d, 1 ' algorithme dit "d 1 addition- 

soustraction" base sur la representation binaire signee 
du multiplieur d, 1* algorithme avec fenetre. . . 

Tous ces algorithmes utilisent les formules 
15 d 1 addition, de soustraction, de doublement et d 1 addition 
du neutre definies sur les courbes elliptiques. 

Cependant, ces algorithmes se revelent sensible^ 
aux attaques visant ci decouvrir notamment la valeur de l^a 
cle secrete d. On peut citer notamment les attaques ,%a 
20 canaux caches, simples ou dif f erentielles . : ; 

On entend par attaque k canal cache simple ou 
dif f erentielle, une attaque basee sur une grandeur 
physique mesurable de 1 1 ext&rieur du dispositif, et dont 
1' analyse directe (attaque simple) ou l ! analyse selon une 
25 methode statistique (attaque dif f Erentielle) permet de 
decouvrir des informations contenues et manipulees dans 
des traitements dans, le dispositif. Ces attaques peuvent 
ainsi permettre de decouvrir des informations 
conf identielles . Ces attaques ont notamment ete devoilees 
30 dans Dl (Paul Kocher, Joshua JAFFE et Benjamin JUN. 
Differential Power Analysis. Advances in Cryptology - 
CRYPTO '99, vol. 1666 of Lecture Notes in Computer 
Science, pp. 388-397. Springer-Verlag, 1999). Parmi les 
grandeurs physiques qui peuvent etre exploitees a ces 
35 fins, on peut citer le temps d 1 execution, la consommation 
en courant, le champ electromagnet ique rayonne par la 
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par tie du composant utilisee pour executer le calcul, 
etc. Ces attaques sont basees sur le fait que la 
manipulation d l un bit, c'est a dire son traitement par 
une instruction particuliere, a une empreinte 
5 particuli&re sur la grandeur physique consider^e selon la 
valeur de ce bit et/ou selon 1 ■ instruction. 

Dans les systemes cryptographiques bases sur des 
courbes elliptiques, ces attaques visent a identifier une 
operation (par exemple une addition de points de type 

10 P3 = Pi + P2 , une addition de type P3 = Pi + O, une 
multiplication scalaire de type P3 = d*Pl) dans un 
ensemble d' operations realisees success ivement. 

Si on prend 1' exemple d'un algorithme de 
multiplication scalaire sur courbes elliptiques avec le 

15 modele de Weierstrass, cet algorithme peut etre sensible 
aux attaques a canaux caches de type simple, car les 
operations de base de doublement de points, d' addition de 
points ou d' addition du point neutre sont sensiblement 
dif f erentes comme le montre le calcul du lambda dans les 

20 formules F8 et F9 supra. 

II est done necessaire de prevoir des proced£s de 
contre-mesure permettant d'empecher les dif f erentes 
attaques de prosperer. En d'autres termes , il est 
necessaire de securiser les algorithmes de multiplication 

25 scalaire. 

Pour cela, de D2 (Eric Brier et Marc Joye. 
Weierstrass elliptic curves and side-channel attacks . In 
D. Naccache, editor, Public Key Cryptography, volume 2274 

30 of Lecture Notes in Computer Science, pages 335-345. 
Springer-Verlag, 2002), il est connu une formulation 
unique pour une operation de doublement de points et une 
operation d 1 addition de points. Ainsi, les deux 
operations ne peuvent plus etre- dif f erenciees par une 

35 attaque a canal cache. Cette formulation cependant 



presente 1 1 inconvenient de ne pas etre valable pour 
r^aliser une operation d* addition du point neutre. 

De D3 (Pierre-Yvan Liardet et Nigel P. Smart. 
Preventing SPA/DPA in ECC systems using the Jacobi form. 

5 In C.K.Kog, D. Naccache, and C* Paar, editors, 
Cryptographic Hardware and embedded Systems - CHES 2001, 
volume 2162 of Lecture Notes in Computer Science, pages 
391-401. Springer-Verlag, 2001), il est egalement connu 
une formulation unique pour une operation d r addition et 

10 une operation de doublement de points. Cette formulation 
cependant n'est applicable que dans le cadre d'une courbe 
elliptique ayant trois points d'ordre 2. De plus, la 
formulation proposee dans D3 demande un espace memoire 
considerable pour etre mise en oeuvre car les points sont 

15 memorises avec quatre coordonnees . Ceci est dif f icilement 
compatible avec une application de type carte a puce. 

De D4 (Marc Joye et Jean- Jacques Quisquater. 
Hessian elliptic curves and side-channel attacks. In 
C.K.Koc, D. Naccache, and C. Paar, editors, Cryptographic 

20 Hardware and embedded Systems - CHES 2001, volume 2162 of 
Lecture Notes in Computer Science, pages 402-419 . 
Springer- Ver lag, 2001), il est encore connu une 
formulation unique pour une operation d 1 addition et une 
operaition de doublement de points. Cependant, cette 

25 formulation est applicable uniquement aux courbes 
elliptiques ayant un point d'ordre trois. 

D3 et D4 n'evoquent pas le probleme de 1" addition 
du neutre. 

30 Un but de 1 1 invention est de proposer une solution 

de protection contre les attaques a canaux caches, 
notamment les attaques SPA, plus efficace que les 
solutions deja connues . 

Un autre but de 1 1 invention est de proposer une 

35 solution qui peut etre mise en oeuvre dans un circuit 
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disposant de peu d'espace memoire ; en vue par exemple 
d'une application de type carte a puce. 

Ces objectifs sont atteints dans 1' invention par 
une formulation unique permettant de realiser une 
5 addition de deux points distincts, un doublement de 
points, et une operation d' addition du neutre. La dite 
formulation selon 1 1 invention est de plus minimale : on 
limite ainsi le nombre d* operations a effectuer et 
l'espace m&noire necessaire pour sa mise en oeuvre. 

10 

Ainsi, 1' invention concerne un procede de calcul 
universel sur des points d'une courbe elliptique. Selon 
1' invention, la courbe elliptique est definie par une 
equation quartique et des moyens de calcul programmes 

15 identiques sont utilises pour realiser une operation 
d' addition de points, une operation de doublement de 
points, et une operation d 1 addition d'un point neutre, 
les moyens de calcul comprenant notamment une unite 
centrale associee a une memoire. 

20 En d'autres termes, selon 1" invention, 

1 1 utilisation d'un modele de la courbe elliptique sous 
forme de quartique (c ' est-a-dire d'un polynome du 4^ me 
degre) permet d'utiliser une formulation unique pour 
realiser des operations d' addition de points, de 

25 doublement de point et de d' addition du point neutre de 
la courbe . 

II devient alors impossible de distinguer I'une de 
ces operations des autres par une attaque telle qu'une 
attaque a canal cache. 

30 Par ailleurs, 1 1 utilisation d'un modele de la 

courbe sous forme de quartique permet de representer un 
point a l l aide de seulement 3 coordonnees projectives, ce 
qui limite l'espace memoire necessaire pour memoriser les 
coordonnees d'un point et diminue les temps de calcul 

35 lors d 1 operations sur des points. 



Enfin, comme on le verra iaieux dans des exemples, 
la formulation unique obtenue selon 1' invention pour 
realiser trois types d' addition (addition de deux points 
distincts, doublement de points et addition du neutre) 
5 utilise un nombre limite d' operations elementaires de 
type multiplication, ce qui limite encore les temps de 
calcul et I'espace memoire necessaire, 

L 1 invention concerne egalement 1 'utilisation d'un 
10 procede de calcul universel tel que d^crit ci-dessus, 
dans un procede de calcul de multiplication scalaire 
applique a des points d'une courbe elliptique, et / ou 
dans un proced<§ cryptographique. 

L f invention concerne encore un composant 
15 electronique comprenant des moyens de calcul programmes 
pour mettre en ceuvre un procede de calcul universel tel 
.que decrit ci-dessus ou un procede cryptographique 
utilisant le procede de calcul universel ci-dessus. Les 
moyens de calcul comprennent notamment une unite centrale 
20 associee a une memoire* 

Enfin, 1 ■ invention concerne Egalement une carte, a 
puce comprenant le composant electronique ci-dessus. 

L ! invention et les avantages qui en d^coulent 
25 apparaitront plus clairement a la lecture de la 
description qui suit d' exemples particuliers de 
realisation de l 1 invention, donnes a titre purement 
indicatif et en reference a la figure unique en annexe. 
Celle-ci repr^sente sous forme de schema bloc un 
30 dispositif 1 electronique apte a' realiser des calculs 
cryptographiques . 

Dans les exemples suivants, le dispositif 1 est une 
carte a puce destinee a executer un programme 
cryptographique. A cette fin, le dispositif 1 reunit dans 
35 une puce des moyens de calcul programmes, composes d'une 
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unite centrale 2 reliee f onctionnellement a un ensemble 
de memoires dont : 

- une memoire 4 accessible en lecture seulement, 
dans l'exemple du type ROM masque, aussi connue sous 
5 1 1 appellation anglaise "mask read-only memory (mask 
ROM) " , 

une memoire 6 re-programmable electriquement , 
dans l'exemple du type EEPROM (de 1' anglais "electrically 
erasable programmable ROM" ) , et 

10 - une memoire de travail 8 accessible en lecture et 

en ecriture, dans l'exemple du type RAM (de 1 1 anglais 
"random access memory"}. Cette memoire comprend notaitiment 
des registres de calcul utilises par le dispositif 1. 

Le code executable correspondant a l ! algorithme de 

15 multiplication scalaire est contenu en memoire programme, 
Ce code peut en pratique etre contenu en memoire 4, 
accessible en lecture seulement, et/ou en memoire 6, 
reinscriptible . 

L r unite centrale 2 est reliee & une interface de 

20 communication 10 qui assure 1 1 echange de signaux vis-a- 
vis de l'exterieur et 1 1 alimentation de la puce. Cette 
interface peut comprendre des plots sur la carte pour une 
connexion dite "a contact" avec un lecteur, et/ou une 
antenne dans le cas d'une carte dite "sans contact". 

25 L'une des fonctions du dispositif 1 est de chiffrer 

ou d^chiffrer un message m confidentiel respectivement 
transmis vers, ou regu de, l'exterieur. Ce message peut 
concerner par exemple des codes personnels, des 
informations medicales, une comptabilite sur des 

30 transactions bancaires ou commerciales , des autorisations 
d'acces a certains services restreints, etc. Une autre 
fonction est de calculer ou de verifier une signature 
numerigue . 

Pour realiser ces fonctions, 1* unite centrale 2 
35 execute un algorithme crypt ographique sur des donnees de 
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programmation qui sont stockees dans les parties ROM 
masque 4 et/ou EEPROM 6. 

L* algorithme utilise ici est un algorithme a cle 
publique sur courbe elliptique dans le cadre d'un modele 

5 sous forme d'une quartique. On s ' interessera plus 
precisement ici a une partie de cet algorithme, qui 
permet de realiser des operations de base, c ! est-a-dire 
des operations d' addition : addition de deux points 
distincts, de deux points identiques (c ' est-a-dire une 

10 operation de doublement d'un point), de un point 
quelconque et du point neutre. 

On rappelle que, selon 1 1 invention, ces trois 
operations sont realis^es k partir de la meme formulation 
et sont done non distinguables l'une de l f autre depuis 

15 l'exterieur pour une attaque a canal cache simple- _ 

Dans le cadre de 1 1 invention, on s'interesse aux 
modeles de courbes elliptiques definies par une equation 
quartique au lieu de 1 ' Equation cubique de Weierstra r ss 
20 habituellement utilisee. v 
La forme general e d f une quartique, en coordonnees 
af fines, est donn£e par la relation : ^ 
Y 2 = aO.X 4 + al,X 3 + a2,X 2 + a3.X + a4 (F10) 
ou, en coordonnees projectives de Jacobi par la 
25 relation : 

V 2 = aO,U 4 + al.U 3 W 4- a2.U 2 W 2 + a3.UW 3 + a4.W 4 (Fll) 
sachant que les coordonnees af fines et les 
coordonnees projective de Jacobi d'un meme point sont 
liees par la relation : 
30 (X , Y) = (U/W , V/W 2 ) (F12) 

Dans un premier exemple de mise en oeuvre de 
1' invention, on considere une courbe elliptique 
quelconque, et on realise une operation de type P3 = 
35 P1+P2, avec Pi, P2, deux points quelconques de la courbe 
elliptique, P2 peut etre different de PI, egal a PI et / 
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ou egal au neutre O de la courbe. L f operation d' addition 
est realisee en coordonnees projectives de Jacobi. 
On montre que toute courbe d' Equation 

y2 = x 3 + a.X + b (equation de Weiers trass) 
5 est birationnellement equivalente a une courbe 

d' Equation 

Y 2 = b.X 4 + a.X 3 + X (F13) 
Liquation F13 est finalement un cas particulier de 
1' equation FlO, avec aO=b, al=a, a2=0 , a3=l, a4=0. 
10 En utilisant les relations d l Equivalence F12 , on 

montre que liquation F13 peut egalement s'ecrire, en 
coordonnees projectives de Jacobi : 

V 2 = b.U 4 + a.U 3 W + UW 3 (F14) 
Lorsque le dispositif de calcul de multiplication 
15 scalaire est sollicite pour realiser une operation 
d l addition, l l unite centrale 2 memorise tout d'abord dans 
des regis tres de calcul les coordonnees (Ul : VI : Wl) et 
(U2 : V2 : W2) des points Pi, P2 de la courbe elliptique, 
a additionner. 

20 L'unitE centrale 2 calcule ensuite les coordonnees 

du point P3 selon les relations : 
U3 = 2.b.Ul 2 .U2 2 

+ (aUl.U2 + W1.W2) . (U1.W2+W1 .U2) + 2V1.V2 (F15) 
V3 = (Ul 2 .V2+U2 2 .Vl)* 
25 (4b, (U1.W2+U2.W1) .W1.W2 

- 8b 2 . (U1.U2) 2 

+ a.[(2Wl.W2) 2 - (aUl.U2+Wl.W2) 2 ] 
+ (Wl 2 .V2+W2 2 .Vl) * 

[ (aUl.U2+Wl.W2) 2 ~(2aUl.U2) 2 + 4bUl.U2. (Wl .U2+U1 . W2) ] 
30 -4bUl.U2. (Ul .Wl .V2+U2 .W2 .VI) (aUl .U2-W1 .W2) (F16) 

W3 = (aUl.U2-Wl.W2) 2 -4bUl.U2 (U1.W2+U2.W1) (F17) 

Les coordonnees (U3 : V3 : W3 ) du point P3 sont 
finalement memorisees dans des registres de la memoire de 
travail 8, pour etre utilisees par ailleurs, par exemple 
35 pour la suite de l'algorithme de chif f rement . 
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On verifie que les formules F15 a F17 sont valides, 
meme dans le cas ou Pi = P2 (doublement de point) ou dans 
le cas ou P2 = O(0 : 0 : 1) (addition du neutre) . 

5 Dans un deuxieme exemple de mise en oeuvre de 

l 1 invention, on considere une courbe elliptique ayant un 
seul point d ! ordre deux, de coordonnees af fines (9, 0), et 
on realise une operation de type P3 = P1+P2, avec PI, P2, 
deux points quelconques de la courbe elliptique. P2 peut 

10 etre different de Pi, egal a PI et / ou egal au neutre O 
de la courbe. L' operation d' addition est donnee en 
coordonnees projectives de Jacobi. 

Le point d'ordre deux verifiant 1 ' equation de 
Weiers trass definissant la courbe elliptique, 6 est defini 

15 par la relation : 

e 3 + a. 9 + b = 0 

On montre alors que toute courbe d 1 equation 

Y 2 = X 3 + a.X + b (equation de Weiers trass) 
et ayant un unique point (9, 0) d'ordre deux est 
20 birationnellement equivalente a une courbe d 1 equation 

Y 2 = £.X 4 - 28.X 2 + 1 (F18) 
avec : 

E = - (a+39 2 /4)/4 et 5 = 39/4 (F19) 
L 1 equation F18 est finalenient un cas particulier de 
25 1' equation F10, avec a0=8, al=0, a2= -2§, a3 = 0 f a4=l . 

En utilisant les relations d 1 equivalence F12, on 
montre que 1 ' equatipn F18 peut egalement s'ecrire, en 
coordonnees projectives de Jacobi : 

V 2 = ax 4 - 28.U 2 x 2 + W 4 (F20) 
30 Le passage du model e cubique Y 2 = X 3 + aX + b au 

modele quartique Y 2 = e.X 4 - 25. X 2 + 1 se fait par les 
transformations suivantes : 

modele de modele 
Weiers trass quartique 
35 (9, 0) »— (0 : -1 : 1) 

(X, Y) ^ <2(X-9) : (2X+9) (X-9) 2 -Y 2 : Y) 
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O »— (0 : 1 : 1) 

model e model e de 

quartique Weiers trass 

(0:1:1) 
5 (0 : -1 : 1)^(0, 0) 

(U : V : W) ^(2(V+W 2 )/U 2 - 0/2, W (4V+4W 2 -39U 2 ) U 3 ) 
On definit pour ce modele quartique le point neutre 
O (0 : 1 : 1) et le point inverse du point P ( U : V : W) 
par le point -P <-U : V : W) . 
10 Lorsque le dispositif de calcul d' exponentiation 

est sollicite pour realiser une operation d' addition, 
1' unite centrale 2 memorise tout d'abord dans des 
regis tres de calcul les coordonnees (Ul : VI : Wl) et 
(U2 : V2 : W2) des points Pi, P2 de la courbe elliptique, 
15 a additionner. 

L' unite centrale 2 calcule ensuite les coordonnees 
du point P3 selon les relations : 

U3 = U1.W1.V2 + V1.U2.W2 (F21) 

V3 = [(W1.W2) 2 + E(U1.U2) 2 ] 
20 * [V1.V2-2SU1.U2 .Wl.W2]+2e.Ul.U2.Wl.W2 (Ul 2 W2 2 +Wl 2 U2 2 ) (F22) 

W3 = (W1.W2) 2 - 8(U1.U2) 2 (F23) 
Les coordonnees (U3 : V3 : W3) du point P3 sont 

finalement memorisees dans des registres de la memoire de 

travail 8, pour etre utilisees par ailleurs, par exemple 
25 pour la suite de l'algorithme de chif f rement . 

On verifie la encore que les formules F21 a F23 

sont valides, meme dans le cas ou Pi = P2 (doublement de 

point) ou dans le cas ou P2 = O (addition du neutre) . 



30 Dans un troisieme exemple de mise en ceuvre de 

1' invention, on considere un cas particulier du deuxieme 
exemple, dans lequel la courbe elliptique a trois points 
d ! ordre deux et est telle que e = 1. Egalement, on realise 
une operation de type P3 = P1+P2, avec PI, P2 , deux 

35 points quelconques de la courbe elliptique. P2 peut etre 
different de Pi, £gal k Pi et / ou egal au neutre O de la 
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courbe. L' operation d' addition est donnee en coordonnees 
projectives de Jacobi pour le modele 

U 4 - 25.U 2 .W 2 + W 4 correspondant au modele affine 
Y 2 = X 4 + 25.X 2 + 1. 
5 L 1 equation F24 est finalement un cas particulier de 

l 1 equation F10 la plus gen^rale, avec aO = 1, al = 0, 
a2 = -28, a3 = 0, a4 = 1. 

Lorsque le dispositif de calcul d 1 exponentiation 
10 est sollicite pour realiser une operation d' addition, 
1* unite centrale 2 memorise tout d'abord dans des 
regis tres de calcul les coordonnees (Ul : VI : Wl) et 
(U2 : V2 : W2) des points PI, P2 de la courbe elliptique, 
a additionner. 

15 L r unite centrale 2 calcule ensuite les coordonnees 

du point P3 selon les relations : 

-U3 = U1.W1.V2 + Vl.U2.W2 (F27) 
V3 = [(W1.W2) 2 + (U1.U2) 2 ] 

* [V1.V2-25U1.U2 .Wl.W2]+2Ul.U2 .W1.W2 (Ul 2 W2 2 +Wl 2 U2 2 ) (P28) 
20 W3 = (W1.W2) 2 - (U1.U2) 2 r (F29) 

Les coordonnees (U3 : V3 : W3) du point P3 ! | ; sont 
finalement rnemorisees dans des registres de la memoire de 
travail 8, pour etre utilisees par ailleurs, par exemple 
pour la suite de 1 1 algori thme de chif f rement . 
25 On verifie la encore que les formules F27 a F29 

sont efficaces, meme dans le cas ou PI = P2 (doublement 
de point) ou dans le ..cas ou P2 = O (addition du neutre) . 

D ! un point de vue realisation pratique, les 
30 formules F27 a F29 peuvent etre realisees de la raaniere 
suivante : 

rl <— ul . u2 
r2 <— wl.w2 
r3 <— rl.r2 
35 r4 *- vl.v2 

r5 ^- ul.wl + vl 
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r6 «— u2 ,w2 + v2 
u3 <— r5.r6 - r4-r3 
w3 4- (r2-rl) . (r2+rl) 
r6 4- 5*r3 
5 r4 ^ r4 - 2.r6 

r6 *- (r2+rl) 2 -2r3 
r4 4— r4.r6 

r6 «— (ul+wl) - (u2+w2) -rl~r2 
r5 — r6 2 - 2r3 
10 r6 *~ r5.r3 

v3 r4 + 2,r6 
ou ul, vl, wl, u2, v2, w2, u3 # v3 , w3 sont des 
registres de calcul dans lesguels sont memorisees les 
coordonn^es projectives des points PI, P2, P3 , et rl a r6 
15 sont des registres temporaires de calcul, 

Ainsi, selon ce mode de realisation, les 
coordonnees du point P3 sont obtenues en un temps egal 
approximativement a 13 fois le temps de realisation d ! une 
multiplication du contenu de deux registres + une fois le 
20 temps de realisation d'une multiplication du contenu d'un 
registre par une constante. Le temps de calcul des 
coordonnees de P3 a l'aide de la formulation selon 
1 ' invention est ainsi bien inferieur au temps de calcul 
des coordonnees de P3 a l'aide d'une formulation telle 
25 que celles de 1 ' art anterieur, 

A noter que cette approximation est tout a fait 
realiste car le temps de realisation d'une multiplication 
du contenu d'un registre par une constante ou d'une 
multiplication du contenu de deux registres est en 
30 pratique tres superieur au temps de realisation d'une 
addition du contenu de deux registres. 

Ceci est egalement vrai dans le cas de la mise en 
ceuvre des formules F15-F17 ou F21-F23 . 



35 



Dans un quatrieme exemple de mise en oeuvre de 
1' invention, on considere une courbe elliptique ayant un 
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seul point d'ordre deux, de coordonnees af fines (9, 0), et 
on realise une operation de type P3 = P1+P2, avec Pi, P2, 
deux points quelconques de la courbe 'elliptique. P2 peut 
etre different de Pi, egal a Pi et / ou egal au neutre O 
5 de la courbe. 

Corame on l'a vu dans le deuxieme exemple : 
0 3 + a. 8 + b = 0 

La courbe d' equation de Weierstrass 
Y 2 = X 3 + a.X + b 
10 et ayant un unique point (0, 0) d'ordre deux est 

birationnellement equivalente a une courbe d 1 equation 

Y 2 = 8.X 4 - 25.X 2 + 1 (F18) 
avec : 

6 = - (a+39 2 /4)/4 et 8 = 39/4 (F19) 
15 L' operation d' addition est donnees dans cet exemple 

en coordonnees af fines . 

Lorsque le dispositif de calcul d' exponentiation 
est sollicite pour realiser une operation d 1 addition, 
l'unit6 centrale 2 memorise tout d'abord dans des 
20 registres de calcul les coordonnees (XI, Yl 4 ) et 
(X2, Y2) des points Pi, P2 de la courbe elliptique, a 
additionner. 

L 1 unite centrale 2 calcule ensuite les coordonnees 
du point P3 selon les relations : 
25 X3 = (XI. Y2 + Y1.X2) / [1 - 8(Xl.X2) 2 ] (F30) 
Y3 = {[1+8{X1.X2)2] . [Y1.Y2 - 25. XI .X2] +2e.Xl .X2 . (Xl 2 +X2 2 ) } 

/ [1 - £(Xl.X2) 2 ] (P31) 
Les coordonnees (X3, Y3) du point P3 sont 
finalement memorisees dans des registres de la memoire de 
30 travail 8, pour etre utilisees par ailleurs, par exemple 
pour la suite de l'algorithme de chiffrement. 

On verifie la encore que les formules F3 0 a F31 
sont valides, mexne dans le cas ou Pi = P2 (doublement de 
point) ou dans le cas ou P2 = O (addition du neutre) . 

35 



REVEN PIC ATTONS 

1. Procede de calcul universel sur des points d'une 
courbe elliptique, caracterise en ce que la courbe 
elliptique est definie par une Equation quartique et en 
ce que des moyens de calcul programmes identiques sont 

5 utilises pour r^aliser une operation d 1 addition de 
points, une operation de doublement de points, et une 
operation d 1 addition d'un point neutre, les moyens de 
calcul comprenant notamment une unite centrale (2) 
associee a une m&noire (4, 6, 8) . 

10 

2. Procede selon la revendication 1, caracterise en 
ce que la courbe elliptique est definie par une equation 
quart ique de type : 

V 2 = b.U 4 + a.U 3 .W + U.W 3 , 

15 (U : V : W) etant des coordonnees projectives de 

Jacobi d'un point P de la courbe elliptique, et a, b 
etant des parametres de la courbe elliptique, un point de 
coordonnees (0 : 0 : 1) etant un point neutre O de la 
courbe elliptique, un point de coordonnees (U : -V : W) 

20 etant un point inverse <-P) du point P de coordonnees 
(U : V : W) . 

3. Procede selon la revendication 2, dans lequel le 
point P est egalement defini en coordonnees af fines 

25 (X, Y) , les coordonnees af fines (X, Y) et les coordonnees 
projectives de Jacobi (U : V : W) du point P etant liees 
par les relations : 

(X, Y) = (u/W , V/W 2 ) . 

30 4. Procede selon la revendication 2 ou 3 , dans 

lequel, pour realiser 1' addition d'un premier point PI 
defini par des premieres coordonnees projectives de 
Jacobi (Ul : VI : wi) et d'un deuxidme point P2 defini 
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par des deuxi ernes coordonnees projectives de Jacobi 
(U2 : V2 : W2), les coordonnees du premier point PI et 
celles du deuxieme point P2 etant memorisees dans des 
premiers et deuxi ernes regis tres de la memoire (4, 6, 8), 
5 le premier point et le deuxieme point appartenant a la 
courbe elliptique, 

les moyens de calcul programmes calculent des 
troisiemes coordonnees projectives de Jacobi 
(U3 : V3 : W3) definissant un troisieme point P3 , 
10 resultat de 1' addition, par les relations suivantes : 
U3 = 2.b.Ul 2 ,U2 2 

+ (aUl.U2 + W1.W2) - (U1.W2+W1.U2) + 2V1.V2 
V3 = (Ul 2 .V2-KJ2 2 .Vl) * 

(4b-. (U1.W2+U2.W1) .W1.W2 
15 - 8b 2 . (U1.U2) 2 

+ a.[(2Wl.W2) 2 - (aUl.U2+Wl.W2) 2 ] 
+ (W1 2 .V2+W2 2 .V1) * 

[ (aUl . 02 +W1 . W2 ) 2 - ( 2aUl . U2 ) 2 +4bUl . U2 . (Wl . U2 +U1 . W2 ) ] 
-4bUl.U2 . (U1.W1.V2+U2.W2.V1) ( aUl . U2-W1 . W2 ) 
20 W3 = (aUl.U2-Wl.W2) 2 -4bUl.U2(Ul.W2+U2.Wl) * 

puis memorisent les troisiemes coordonnees 
projectives (U3 , V3 , W3) dans des troisiemes registres de 
la memoire (6, 8) . 

25 5. Procede selon la revendication 1, dans lequel la 

courbe elliptique est une courbe comprenant un seul point 
d'ordre deux et est .definie par une equation quartique de 
type : 

V 2 = 8.U 4 -25.U 2 .W 2 + w 4 , 

30 (U : V : W) etant des coordonnees projectives de 

Jacobi d'un point P de la courbe elliptique, et e, 5 etant 
des parametres de la courbe elliptique, le point de 
coordonnees (0:1:1) etant le point neutre O de la 
courbe elliptique, le point de coordonnees (-U : +V : W) 

35 dtant le point inverse (-P) du point P (U : V : W) . 
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6. Proc6de selon la revendi cation 5, dans lequel, 
pour realiser 1« addition du premier point Pi defini par 
des premieres coordonnees projectives de Jacobi 
(Ul : VI : Wl) et du deuxieme point P2 defini par des 

5 deuxi ernes coordormees projectives de Jacobi 
(U2 : V2 : W2), les coordormees du premier point Pi et 
celles du deuxieme point P2 etant memorises dans des 
premiers et deuxiemes registres de la memoire (4, 6, 8), 
le premier point et le deuxieme point appartenant a la 

10 courbe elliptique, 

les moyens de calcul programmes calculent des 
troisiemes coordormees projectives de Jacobi 
(U3 : V3 : W3) definissant un troisieme point P3 , 
resultat de 1' addition, par les relations suivantes : 

15 U3 = U1.W1.V2 + V1.U2.W2 

V3 = [(W1.W2) 2 + e(Ul.U2) 2 ] 

* [VI . V2-2SCJ1.U2 . Wl .W2] +26.U1 ,U2 .Wl .W2 <Ul 2 W2 2 +Wl 2 U2 2 ) 
W3 = (W1.W2) 2 - e(Ul.U2) 2 

puis m£morisent les troisiemes coordonnees 
20 projectives (U3 # V3, W3) dans les troisiemes registres de 
la memoire (6, 8) . 

7. Procede selon I'une des revendications 5 k 6, 
dans lequel la courbe elliptique est definie en 

25 coordonnees af fines par une equation du type : 
Y 2 = e.X 4 -25.X 2 + 1 

(X, Y) ^tant des coordonnees af fines d»un point P 
de la courbe elliptique. 

30 8. Procede selon la revendication 7, dans lequel, 

pour realiser 1' addition du premier point Pi defini par 
des premieres coordonnees af fines (XI, Yl) et du deuxieme 
point P2 defini par des deuxiemes coordonnees affines 
(X2, Y2), les coordonnees du premier point PI et celles 

35 du deuxieme point P2 £tant memorises dans des premiers 
et deuxiemes registres de la memoire (4, 6, 8), le 
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premier point Pi et le deuxieme point P2 appartenant a la 
courbe elliptique, 

les moyens de calcul programmes calculent des 
troisiemes coordonnees af fines (X3 , Y3) definissant un 
5 troisieme point P3 , resultat de l r addition, par les 
relations suivantes : 

X3 = (XI. Y2 + Y1.X2) / [1 - E{X1.X2) 2 ] 

Y3 = {[1+6(X1.X2)2] . [Y1.Y2 - 25 . Xl . X2 ] +28. Xl , X2 . (X12+X2 2 ) } 
/ [1 - 8(X1.X2) 2 ] 
10 puis memorisent les troisiemes coordonnees affines 

(X3, Y3> dans les troisiemes registres de la m^moire (6, 
8) . 

9. Procede selon I'une des revendications 5 a 8, 
15 dans lequel la courbe elliptique est une courbe 

comprenant trois points d'ordre deux et a pour param&tre 
8=1. 

10. Utilisation d'un procede de calcul selon I'une 
20 des revendications 1 a 9. dans un procede de calcul de 

multiplication scalaire applique a des points*, d'une 
courbe elliptique. 

11. Utilisation d'un procede de calcul selon I'une 
25 des revendications 1 a 9 dans un procede cryptographique- 

12 . Composant electronique comprenant des moyens de 
calcul programmes pour mettre en oeuvre un procede selon 
I'une des revendications 1 a 9, les moyens de calcul 

30 comprenant notamment une unite centrale (2) associee a 
une memoire (4, 6, 8) . 

13 . Composant electronique comprenant des moyens de 
mise en oeuvre d'un algorithme cryptographique utilisant 

35 un procede selon I'une des revendications 1 a 9. 




14. Carte a puce comprenant un composant 
61ectronique selon la revendication 12 ou 13 . 
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